La noticia del caso de Banco Santander, obligado a pagar una multa tras el robo de datos de clientes, ha vuelto a colocar en primer plano un debate que ya es central en la economía de hoy en día..., la gestión de la privacidad. Lo que hace una década parecía un asunto propio de especialistas en ciberseguridad hoy se traduce en sanciones millonarias, comparecencias públicas y una creciente presión social y reputacional sobre las empresas. En la banca, en la energía, en las telecomunicaciones o en la moda, la pregunta es la misma: ¿qué ocurre con los datos personales de los clientes cuando una compañía no los protege adecuadamente?
La sanción al Santander llega en un momento en el que la regulación europea es cada vez más estricta. Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), en 2018, el marco legal cambió radicalmente. La norma fijó multas que pueden alcanzar los 20 millones de euros o, en el caso de grandes corporaciones, el 4 % de su facturación anual global, lo que sitúa el listón en cifras astronómicas para gigantes con ingresos de cientos de miles de millones. Y, a diferencia de lo que muchos auguraban al principio, las autoridades no han dudado en aplicar estas sanciones.
Las tecnológicas son el mejor ejemplo
Meta, la matriz de Facebook, WhatsApp e Instagram, acumula un historial de sanciones que ya supera los mil millones de dólares. ¿El motivo principal? Transferir datos de ciudadanos europeos a servidores en Estados Unidos sin las garantías adecuadas. A su lado, TikTok tampoco ha quedado exenta. En mayo, el regulador irlandés multó a la compañía china con 530 millones de euros por enviar información de usuarios europeos a su país de origen sin las salvaguardas legales exigidas.
España tampoco se libra. En 2023, Endesa recibió una multa de más de seis millones de euros por exponer datos sensibles de millones de clientes, convirtiéndose en uno de los expedientes más sonados en nuestro país. Openbank, la filial digital del propio Santander, también fue sancionada con 2,5 millones por no aplicar medidas reforzadas de seguridad en la entrega de documentación financiera. La Agencia Española de Protección de Datos (AEPD), que en sus primeros años tras el RGPD era percibida como más pedagógica que sancionadora, ha endurecido progresivamente su posición.
Pero no se trata solo de grandes corporaciones. Las sanciones también golpean a pequeñas y medianas empresas, incluso a autónomos. La cadena de gimnasios Supera, con presencia en España y Portugal, fue multada con 96.000 euros por imponer el reconocimiento facial como único sistema de acceso a sus instalaciones. El regulador consideró que obligar a los clientes a ceder datos biométricos -información especialmente protegida por la normativa- era desproporcionado. En otros casos, negocios de turismo o alquiler han recibido sanciones por escanear íntegramente el DNI de sus clientes sin contar con una base legal suficiente.
El caso de Inditex
El asunto de la privacidad tampoco pasa de largo por la industria de la moda. En España, Inditex, el gigante detrás de Zara, Massimo Dutti y Pull & Bear, no ha protagonizado una sanción masiva por fuga de datos, pero sí ha visto cómo una de sus marcas, Massimo Dutti, era multada con 5.000 euros por anomalías en el uso de cookies en su página web (una cifra pequeña si se compara con los grandes casos bancarios o tecnológicos, pero significativa porque muestra que la lupa de los reguladores alcanza incluso a los detalles aparentemente menores del ecosistema digital). La propia Inditex ha reforzado en los últimos años su política de cumplimiento en materia de protección de datos, consciente de que maneja información de millones de clientes en todo el mundo y de que un descuido puede erosionar la confianza en sus marcas.
Lo que vemos es que el patrón se repite y lo que se mide no es solo el incidente puntual, sino la cultura corporativa detrás de él. Las autoridades valoran si la empresa contaba con protocolos internos, si había cifrado y medidas preventivas, si los datos comprometidos eran de carácter sensible y, sobre todo, cómo se comunicó el fallo a los clientes. En ocasiones, el reconocimiento temprano de la infracción y el pago anticipado permiten reducciones importantes de la sanción, pero la huella reputacional permanece.
En paralelo, se abre un debate de fondo. Para las compañías, la privacidad ha pasado de ser un tema de cumplimiento legal a convertirse en un activo estratégico. La confianza del cliente, difícil de ganar y fácil de perder, depende en gran medida de la percepción de seguridad y respeto a los datos personales. Cada fuga de información erosiona esa confianza y, en sectores tan sensibles como la banca o la salud, el daño puede ser irreparable. En definitiva, es también un aviso para todo el tejido empresarial: desde las grandes multinacionales hasta el pequeño negocio de barrio, nadie está fuera del radar de los reguladores.
